在安全評估過程中采取什么手段可以模擬黑客入侵過程檢測系統安全脆弱

在安全評估過程中采取手工檢查手段可以模擬黑客入侵過程檢測系統安全脆弱。

成都創新互聯公司一直秉承“誠信做人，踏實做事”的原則，不欺瞞客戶，是我們最起碼的底線！ 以服務為基礎，以質量求生存，以技術求發展，成交一個客戶多一個朋友！為您提供成都網站建設、成都做網站、成都網頁設計、小程序開發、成都網站開發、成都網站制作、成都軟件開發、重慶APP開發是成都本地專業的網站建設和網站設計公司，等你一起來見證！

一般是指通過模擬黑客的攻擊手法，對計算機網絡系統進行安全評估測試，如果發現系統中存在漏洞，向被測試系統的所有者提交滲透報告，并提出補救措施。這一章將通過滲透測試Web應用和服務器，向大家介紹滲透測試的方法和技巧。

收集信息是網絡滲透的第一步，也是關鍵的一步(事實上，除了網絡滲透，許多工作的第一步就是收集信息)。一個完整的滲透過程是一個漫長的過程，前期的信息收集可以讓人們對滲透目標有一個初步的了解，而后期的信息收集往往是成功的關鍵。攻防之間的任何較量，都是基于對信息的掌握程度，在信息不對稱的情況下，很容易造成誤判或失誤。

【開發者必看】APP《安全評估報告》怎么寫？附填寫范例

服務名稱：APP名稱（寫軟著上的名稱比較穩妥）；

服務類型，選擇“APP”

訪問/下載地址：應用寶（或其他主流市場）上的鏈接；

開展評估情況：根據自家APP的情況，選擇其中1項或則選擇全部；評估方法：可以選擇“自評審”，如果采用第三方評估，則選擇“第三方評估”；

開辦主體負責人和評估單位：自評估的話，開辦主體負責人建議寫法人，評估單位可以寫自己（或其他評估的人員）或法人，穩妥一點可以都寫法人，加蓋2個公章；第三方評估就寫：第三方評估就寫第三方名稱和評估人，暫時不清楚是否需要蓋章。

基本信息填寫完成后，點擊下一步。

4、主要信息的填寫

主要信息里的7個問題有一定的專業性，很多開發者不知該怎么填寫，本文下方提供了填寫的范例，大家可以參考范例填寫奧。

《安全評估報告》7條回答范例

（1）安全管理負責人、信息審核人員及安全管理機構設立情況。

公司設有編輯審核部門、運營管理部門、運維管理部門；編輯審核部門將對每日的新聞內容進行審核；運營部門對用戶的帖子內容進行審核；運維管理部門負責日志留存記錄、內容攔截等工作。

（2）用戶真實身份核驗及注冊信息留存措施。

在用戶注冊時需要使用手機號注冊，我們可以根據手機號對其身份信息進行核驗，同時通過日志留存設備檢查將該用戶身份信息、終端IP地址、終端型號、MAC地址和上網所用賬號進行有效綁定，并對應至相應數據表。

（3）對用戶賬號、操作時間、操作類型、網絡源地址和目標地址、網絡源端口、客戶端硬

件特征等日志信息，以及用戶發布信息記錄的留存措施。

通過日志留存設備記錄用戶賬號、操作時間、操作類型、網絡源地址和目標地址、網絡源端口、客戶端硬件特征等日志信息；同時日志留存設備提供基于時間、應用服務類型、IP地址、端口、賬號為查詢條件的查詢功能；可以通過日志留存設備的查詢模塊，查找所對應的終端以及其使用人。

（4）對用戶賬號和通訊群組名稱、昵稱、簡介、備注、標識，信息發布、轉發、評論和通

訊群組等服務功能中違法有害信息的防范處置和有關記錄保存措施。

日志留存設備將對系統管理員日志備份數據的修改及刪除操作進行記錄，同時記錄所有對重要服務器的訪問記錄；

1.提供黑名單功能，能夠設置關鍵詞、鏈接等；

2.提供攔截通知功能，對特定的網址和帖子進行攔截、郵件告知等；

3.能夠記錄所使用終端的相關信息和上網行為有關信息。

（5）個人信息保護以及防范違法有害信息傳播擴散、社會動員功能失控風險的技術措施。

1.提供黑名單功能，能夠設置關鍵詞、鏈接等；?

2.提供攔截通知功能，對特定的網址和帖子進行攔截、郵件告知等；

3.能夠記錄所使用終端的相關信息和上網行為有關信息

4.對個人信息進行3D加密存儲，存儲數據庫以及服務器，每隔一個月進行密碼更換。建立投訴、舉報制度，公布投訴、舉報方式等信息，及時受理并處理有關投訴和舉報

的情況。

（6）

提供網址和帖子舉報機制，舉報后將推送消息給運營人員；運營人員會及時受理并排查舉報內容是否合法合規；

（7）建立為監管部門和執法部門依法履職提供技術、數據支持和協助的工作機制的情況。

日志留存設備將提供應用會話記錄和系統會話記錄100天的記錄；

能夠根據用戶賬號、終端設備、IP地址追溯用戶真實身份信息；

能夠及時通過運營后臺對所要攔截的內容進行攔截或者刪除操作；

?

?

如何解決企業遠程辦公網絡安全問題？

企業遠程辦公的網絡安全常見問題及建議

發表時間：2020-03-06 11:46:28

作者：寧宣鳳、吳涵等

來源：金杜研究院

分享到：微信新浪微博QQ空間

當前是新型冠狀病毒防控的關鍵期，舉國上下萬眾一心抗擊疫情。為增強防控，自二月初以來，北京、上海、廣州、杭州等各大城市政府公開表態或發布通告，企業通過信息技術開展遠程協作辦公、居家辦公［1］。2月19日，工信部發布《關于運用新一代信息技術支撐服務疫情防控和復工復產工作的通知》，面對疫情對中小企業復工復產的嚴重影響，支持運用云計算大力推動企業上云，重點推行遠程辦公、居家辦公、視頻會議、網上培訓、協同研發和電子商務等在線工作方式［2］。

面對國家和各地政府的呼吁，全國企業積極響應號召。南方都市報在2月中旬發起的網絡調查顯示，有47．55％的受訪者在家辦公或在線上課［3］。面對特殊時期龐大的遠程辦公需求，遠程協作平臺也積極承擔社會擔當，早在1月底，即有17家企業的21款產品宣布對全社會用戶或特定機構免費開放其遠程寫作平臺軟件［4］。

通過信息技術實現遠程辦公，無論是網絡層、系統層，還是業務數據，都將面臨更加復雜的網絡安全環境，為平穩有效地實現安全復工復產，降低疫情對企業經營和發展的影響，企業應當結合實際情況，建立或者適當調整相適應的網絡與信息安全策略。

一、遠程辦公系統的類型

隨著互聯網、云計算和物聯網等技術的深入發展，各類企業，尤其是互聯網公司、律所等專業服務公司，一直在推動實現企業內部的遠程協作辦公，尤其是遠程會議、文檔管理等基礎功能應用。從功能類型來看，遠程辦公系統可分為以下幾類：［5］

綜合協作工具，即提供一套綜合性辦公解決方案，功能包括即時通信和多方通信會議、文檔協作、任務管理、設計管理等，代表軟件企包括企業微信、釘釘、飛書等。

即時通信（即Instant　Messaging或IM）和多方通信會議，允許兩人或以上通過網絡實時傳遞文字、文件并進行語音、視頻通信的工具，代表軟件包括Webex、Zoom、Slack、Skype等。

文檔協作，可為多人提供文檔的云存儲和在線共享、修改或審閱功能，代表軟件包括騰訊文檔、金山文檔、印象筆記等。

任務管理，可實現任務流程、考勤管理、人事管理、項目管理、合同管理等企業辦公自動化（即Office　Automation或OA）功能，代表軟件包括Trello、Tower、泛微等。

設計管理，可根據使用者要求，系統地進行設計方面的研究與開發管理活動，如素材、工具、圖庫的管理，代表軟件包括創客貼、Canvas等。

二、遠程辦公不同模式下的網絡安全責任主體

《網絡安全法》（“《網安法》”）的主要規制對象是網絡運營者，即網絡的所有者、管理者和網絡服務提供者。網絡運營者應當承擔《網安法》及其配套法規下的網絡運行安全和網絡信息安全的責任。

對于遠程辦公系統而言，不同的系統運營方式下，網絡安全責任主體（即網絡運營者）存在較大的差異。按照遠程辦公系統的運營方式劃分，企業遠程辦公系統大致可以分為自有系統、云辦公系統和綜合型系統三大類。企業應明確區分其與平臺運營方的責任界限，以明確判斷自身應采取的網絡安全措施。

（1）自有系統

此類模式下，企業的遠程辦公系統部署在自有服務器上，系統由企業自主研發、外包研發或使用第三方企業級軟件架構。此類系統開發成本相對較高，但因不存在數據流向第三方服務器，安全風險則較低，常見的企業類型包括國企、銀行業等重要行業企業與機構，以及經濟能力較強且對安全與隱私有較高要求的大型企業。

無論是否為企業自研系統，由于系統架構完畢后由企業單獨所有并自主管理，因此企業構成相關辦公系統的網絡運營者，承擔相應的網絡安全責任。

（2）云辦公系統

此類辦公系統通常為SaaS系統或APP，由平臺運營方直接在其控制的服務器上向企業提供注冊即用的系統遠程協作軟件平臺或APP服務，供企業用戶與個人（員工）用戶使用。此類系統構建成本相對經濟，但往往只能解決企業的特定類型需求，企業通常沒有權限對系統進行開發或修改，而且企業數據存儲在第三方服務器。該模式的常見企業類型為相對靈活的中小企業。

由于云辦公系統（SaaS或APP）的網絡、數據庫、應用服務器都由平臺運營方運營和管理，因此，云辦公系統的運營方構成網絡運營者，通常對SaaS和APP的網絡運行安全和信息安全負有責任。

實踐中，平臺運營方會通過用戶協議等法律文本，將部分網絡安全監管義務以合同約定方式轉移給企業用戶，如要求企業用戶嚴格遵守賬號使用規則，要求企業用戶對其及其員工上傳到平臺的信息內容負責。

（3）綜合型系統

此類系統部署在企業自有服務器和第三方服務器上，綜合了自有系統和云辦公，系統的運營不完全由企業控制，多用于有多地架設本地服務器需求的跨國企業。

云辦公系統的供應商和企業本身都可能構成網絡運營者，應當以各自運營、管理的網絡系統為邊界，對各自運營的網絡承擔相應的網絡安全責任。

對于企業而言，為明確其與平臺運營方的責任邊界，企業應當首先確認哪些“網絡”是企業單獨所有或管理的。在遠程辦公場景下，企業應當考慮多類因素綜合認定，分析包括但不限于以下：

辦公系統的服務器、終端、網絡設備是否都由企業及企業員工所有或管理；

企業對企業使用的辦公系統是否具有最高管理員權限；

辦公系統運行過程中產生的數據是否存儲于企業所有或管理的服務器；

企業與平臺運營方是否就辦公系統或相關數據的權益、管理權有明確的協議約定等。

當然，考慮到系統構建的復雜性與多樣性，平臺運營方和企業在遠程協作辦公的綜合系統中，可能不免共同管理同一網絡系統，雙方均就該網絡承擔作為網絡運營者的安全責任。但企業仍應通過合同約定，盡可能固定網絡系統中雙方各自的管理職責以及網絡系統的歸屬。因此，對于共同管理、運營遠程協作辦公服務平臺的情況下，企業和平臺運營方應在用戶協議中明確雙方就該系統各自管理運營的系統模塊、各自對其管理的系統模塊的網絡安全責任以及該平臺的所有權歸屬。

三、遠程辦公涉及的網絡安全問題及應對建議

下文中，我們將回顧近期遠程辦公相關的一些網絡安全熱點事件，就涉及的網絡安全問題進行簡要的風險評估，并為企業提出初步的應對建議。

1．用戶流量激增導致遠程辦公平臺“短時間奔潰”，平臺運營方是否需要承擔網絡運行安全責任？

事件回顧：

2020年2月3日，作為春節假期之后的首個工作日，大部分的企業都要求員工在家辦公。盡管各遠程辦公系統的平臺運營方均已經提前做好了應對預案，但是巨量的并發響應需求還是超出了各平臺運營商的預期，多類在線辦公軟件均出現了短時間的“信息發送延遲”、“視頻卡頓”、“系統奔潰退出”等故障［6］。在出現故障后，平臺運營方迅速采取了網絡限流、服務器擴容等措施，提高了平臺的運載支撐能力和穩定性，同時故障的出現也產生一定程度的分流。最終，盡管各遠程辦公平臺都在較短的時間內恢復了平臺的正常運營，但還是遭到了不少用戶的吐槽。

風險評估：

依據《網絡安全法》（以下簡稱《網安法》）第22條的規定，網絡產品、服務應當符合相關國家標準的強制性要求。網絡產品、服務的提供者不得設置惡意程序；發現其網絡產品、服務存在安全缺陷、漏洞等風險時，應當立即采取補救措施，按照規定及時告知用戶并向有關主管部門報告。網絡產品、服務的提供者應當為其產品、服務持續提供安全維護；在規定或者當事人約定的期限內，不得終止提供安全維護。

遠程辦公平臺的運營方，作為平臺及相關網絡的運營者，應當對網絡的運行安全負責。對于短時間的系統故障，平臺運營方是否需要承擔相應的法律責任或違約責任，需要結合故障產生的原因、故障產生的危害結果、用戶協議中的責任約定等因素來綜合判斷。

對于上述事件而言，基于我們從公開渠道了解的信息，盡管多個云辦公平臺出現了響應故障問題，給用戶遠程辦公帶來了不便，但平臺本身并未暴露出明顯的安全缺陷、漏洞等風險，也沒有出現網絡數據泄露等實質的危害結果，因此，各平臺很可能并不會因此而承擔網絡安全的法律責任。

應對建議：

在疫情的特殊期間，主流的遠程辦公平臺產品均免費開放，因此，各平臺都會有大量的新增客戶。對于平臺運營方而言，良好的應急預案和更好的用戶體驗，肯定更有利于平臺在疫情結束之后留住這些新增的用戶群體。

為進一步降低平臺運營方的風險，提高用戶體驗，我們建議平臺運營方可以：

將用戶流量激增作為平臺應急事件處理，制定相應的應急預案，例如，在應急預案中明確流量激增事件的觸發條件、服務器擴容的條件、部署臨時備用服務器等；

對用戶流量實現實時的監測，及時調配平臺資源；

建立用戶通知機制和話術模板，及時告知用戶系統響應延遲的原因及預計恢復的時間等；

在用戶協議或與客戶簽署的其他法律文本中，嘗試明確該等系統延遲或奔潰事件的責任安排。

2．在遠程辦公環境下，以疫情為主題的釣魚攻擊頻發，企業如何降低外部網絡攻擊風險？

事件回顧：

疫情期間，某網絡安全公司發現部分境外的黑客組織使用冠狀病毒為主題的電子郵件進行惡意軟件發送，網絡釣魚和欺詐活動。比如，黑客組織偽裝身份（如國家衛健委），以“疫情防控”相關信息為誘餌，發起釣魚攻擊。這些釣魚郵件攻擊冒充可信來源，郵件內容與廣大人民群眾關注的熱點事件密切相關，極具欺騙性。一旦用戶點擊，可能導致主機被控，重要信息、系統被竊取和破壞［7］。

風險評估：

依據《網安法》第21、25條的規定，網絡運營者應當按照網絡安全等級保護制度的要求，履行下列安全保護義務，保障網絡免受干擾、破壞或者未經授權的訪問，防止網絡數據泄露或者被竊取、篡改：（1）制定內部安全管理制度和操作規程，確定網絡安全負責人，落實網絡安全保護責任；（2）采取防范計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的技術措施；（3）采取監測、記錄網絡運行狀態、網絡安全事件的技術措施，并按照規定留存相關的網絡日志不少于六個月；（4）采取數據分類、重要數據備份和加密等措施；（5）法律、行政法規規定的其他義務。同時，網絡運營者還應當制定網絡安全事件應急預案，及時處置系統漏洞、計算機病毒、網絡攻擊、網絡侵入等安全風險；在發生危害網絡安全的事件時，立即啟動應急預案，采取相應的補救措施，并按照規定向有關主管部門報告。

遠程辦公的實現，意味著企業內網需要響應員工移動終端的外網接入請求。員工所處的網絡安全環境不一，無論是接入網絡還是移動終端本身，都更容易成為網絡攻擊的對象。一方面，公用WiFi、網絡熱點等不可信的網絡都可能作為員工的網絡接入點，這些網絡可能毫無安全防護，存在很多常見的容易被攻擊的網絡漏洞，容易成為網絡犯罪組織侵入企業內網的中轉站；另一方面，部分員工的移動終端設備可能會安裝設置惡意程序的APP或網絡插件，員工在疏忽的情況下也可能點擊偽裝的釣魚攻擊郵件或勒索郵件，嚴重威脅企業內部網絡的安全。

在計算機病毒或外部網絡攻擊等網絡安全事件下，被攻擊的企業盡管也是受害者，但如果企業沒有按照《網安法》及相關法律規定的要求提前采取必要的技術防范措施和應急響應預案，導致網絡數據泄露或者被竊取、篡改，給企業的用戶造成損失的，很可能依舊需要承擔相應的法律責任。

應對建議：

對于企業而言，為遵守《網安法》及相關法律規定的網絡安全義務，我們建議，企業可以從網絡安全事件管理機制、移動終端設備安全、數據傳輸安全等層面審查和提升辦公網絡的安全：

（1）企業應當根據其運營網絡或平臺的實際情況、員工整體的網絡安全意識，制定相適應的網絡安全事件管理機制，包括但不限于：

制定包括數據泄露在內的網絡安全事件的應急預案；

建立應對網絡安全事件的組織機構和技術措施；

實時監測最新的釣魚網站、勒索郵件事件；

建立有效的與全體員工的通知機制，包括但不限于郵件、企業微信等通告方式；

制定與員工情況相適應的信息安全培訓計劃；

設置適當的獎懲措施，要求員工嚴格遵守公司的信息安全策略。

（2）企業應當根據現有的信息資產情況，采取以下措施，進一步保障移動終端設備安全：

根據員工的權限等級，制定不同的移動終端設備安全管理方案，例如，高級管理人員或具有較高數據庫權限的人員僅能使用公司配置的辦公專用移動終端設備；

制定針對移動終端設備辦公的管理制度，對員工使用自帶設備進行辦公提出明確的管理要求；

定期對辦公專用的移動終端設備的系統進行更新、漏洞掃描；

在終端設備上，對終端進行身份準入認證和安全防護；

重點監測遠程接入入口，采用更積極的安全分析策略，發現疑似的網絡安全攻擊或病毒時，應當及時采取防范措施，并及時聯系企業的信息安全團隊；

就移動辦公的信息安全風險，對員工進行專項培訓。

（3）保障數據傳輸安全，企業可以采取的安全措施包括但不限于：

使用HTTPS等加密傳輸方式，保障數據傳輸安全。無論是移動終端與內網之間的數據交互，還是移動終端之間的數據交互，都宜對數據通信鏈路采取HTTPS等加密方式，防止數據在傳輸中出現泄漏。

部署虛擬專用網絡（VPN），員工通過VPN實現內網連接。值得注意的是，在中國，VPN服務（尤其是跨境的VPN）是受到電信監管的，僅有具有VPN服務資質的企業才可以提供VPN服務。外貿企業、跨國企業因辦公自用等原因，需要通過專線等方式跨境聯網時，應當向持有相應電信業務許可證的基礎運營商租用。

3．內部員工通過VPN進入公司內網，破壞數據庫。企業應當如何預防“內鬼”，保障數據安全？

事件回顧：

2月23日晚間，微信頭部服務提供商微盟集團旗下SaaS業務服務突發故障，系統崩潰，生產環境和數據遭受嚴重破壞，導致上百萬的商戶的業務無法順利開展，遭受重大損失。根據微盟25日中午發出的聲明，此次事故系人為造成，微盟研發中心運維部核心運維人員賀某，于2月23日晚18點56分通過個人VPN登入公司內網跳板機，因個人精神、生活等原因對微盟線上生產環境進行惡意破壞。目前，賀某被上海市寶山區公安局刑事拘留，并承認了犯罪事實［8］。由于數據庫遭到嚴重破壞，微盟長時間無法向合作商家提供電商支持服務，此處事故必然給合作商戶帶來直接的經濟損失。作為港股上市的企業，微盟的股價也在事故發生之后大幅下跌。

從微盟的公告可以看出，微盟員工刪庫事件的一個促成條件是“該員工作為運維部核心運維人員，通過個人VPN登錄到了公司內網跳板機，并具有刪庫的權限”。該事件無論是對SaaS服務商而言，還是對普通的企業用戶而言，都值得反思和自省。

風險評估：

依據《網安法》第21、25條的規定，網絡運營者應當按照網絡安全等級保護制度的要求，履行下列安全保護義務，保障網絡免受干擾、破壞或者未經授權的訪問，防止網絡數據泄露或者被竊取、篡改：（1）制定內部安全管理制度和操作規程，確定網絡安全負責人，落實網絡安全保護責任；（2）采取防范計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的技術措施；（3）采取監測、記錄網絡運行狀態、網絡安全事件的技術措施，并按照規定留存相關的網絡日志不少于六個月；（4）采取數據分類、重要數據備份和加密等措施；（5）法律、行政法規規定的其他義務。同時，網絡運營者還應當制定網絡安全事件應急預案，及時處置系統漏洞、計算機病毒、網絡攻擊、網絡侵入等安全風險；在發生危害網絡安全的事件時，立即啟動應急預案，采取相應的補救措施，并按照規定向有關主管部門報告。

內部員工泄密一直是企業數據泄露事故的主要原因之一，也是當前“侵犯公民個人信息犯罪”的典型行為模式。遠程辦公環境下，企業需要為大部分的員工提供連接內網及相關數據庫的訪問權限，進一步增大數據泄露甚至被破壞的風險。

與用戶流量激增導致的系統“短時間崩潰”不同，“微盟刪庫”事件的發生可能與企業內部信息安全管理有直接的關系。如果平臺內合作商戶產生直接經濟損失，不排除平臺運營者可能需要承擔網絡安全相關的法律責任。

應對建議：

為有效預防員工惡意破壞、泄露公司數據，保障企業的數據安全，我們建議企業可以采取以下預防措施：

制定遠程辦公或移動辦公的管理制度，區分辦公專用移動設備和員工自有移動設備，進行分類管理，包括但不限于嚴格管理辦公專用移動設備的讀寫權限、員工自有移動設備的系統權限，尤其是企業數據庫的管理權限；

建立數據分級管理制度，例如，應當根據數據敏感程度，制定相適應的訪問、改寫權限，對于核心數據庫的數據，應當禁止員工通過遠程登錄方式進行操作或處理；

根據員工工作需求，依據必要性原則，評估、審核與限制員工的數據訪問和處理權限，例如，禁止員工下載數據到任何用戶自有的移動終端設備；

建立數據泄露的應急管理方案，包括安全事件的監測和上報機制，安全事件的響應預案；

制定遠程辦公的操作規范，使用文件和材料的管理規范、應用軟件安裝的審批流程等；

組建具備遠程安全服務能力的團隊，負責實時監控員工對核心數據庫或敏感數據的操作行為、數據庫的安全情況；

加強對員工遠程辦公安全意識教育。

4．疫情期間，為了公共利益，企業通過系統在線收集員工疫情相關的信息，是否需要取得員工授權？疫情結束之后，應當如何處理收集的員工健康信息？

場景示例：

在遠程辦公期間，為加強用工管理，確保企業辦公場所的健康安全和制定相關疫情防控措施，企業會持續地向員工收集各類疫情相關的信息，包括個人及家庭成員的健康狀況、近期所在地區、當前住址、所乘航班或火車班次等信息。收集方式包括郵件、OA系統上報、問卷調查等方式。企業會對收集的信息進行統計和監測，在必要時，向監管部門報告企業員工的整體情況。如發現疑似病例，企業也會及時向相關的疾病預防控制機構或者醫療機構報告。

風險評估：

2020年1月20日，新型冠狀病毒感染肺炎被國家衛健委納入《中華人民共和國傳染病防治法》規定的乙類傳染病，并采取甲類傳染病的預防、控制措施?！吨腥A人民共和國傳染病防治法》第三十一條規定，任何單位和個人發現傳染病病人或者疑似傳染病病人時，應當及時向附近的疾病預防控制機構或者醫療機構報告。

2月9日，中央網信辦發布了《關于做好個人信息保護利用大數據支撐聯防聯控工作的通知》（以下簡稱《通知》），各地方各部門要高度重視個人信息保護工作，除國務院衛生健康部門依據《中華人民共和國網絡安全法》、《中華人民共和國傳染病防治法》、《突發公共衛生事件應急條例》授權的機構外，其他任何單位和個人不得以疫情防控、疾病防治為由，未經被收集者同意收集使用個人信息。法律、行政法規另有規定的，按其規定執行。

各地也陸續出臺了針對防疫的規范性文件，以北京為例，根據《北京市人民代表大會常務委員會關于依法防控新型冠狀病毒感染肺炎疫情　堅決打贏疫情防控阻擊戰的決定》，本市行政區域內的機關、企業事業單位、社會團體和其他組織應當依法做好本單位的疫情防控工作，建立健全防控工作責任制和管理制度，配備必要的防護物品、設施，加強對本單位人員的健康監測，督促從疫情嚴重地區回京人員按照政府有關規定進行醫學觀察或者居家觀察，發現異常情況按照要求及時報告并采取相應的防控措施。按照屬地人民政府的要求，積極組織人員參加疫情防控工作。

依據《通知》及上述法律法規和規范性文件的規定，我們理解，在疫情期間，如果企業依據《中華人民共和國傳染病防治法》、《突發公共衛生事件應急條例》獲得了國務院衛生健康部門的授權，企業在授權范圍內，應當可以收集本單位人員疫情相關的健康信息，而無需取得員工的授權同意。如果不能滿足上述例外情形，企業還是應當依照《網安法》的規定，在收集前獲得用戶的授權同意。

《通知》明確規定，為疫情防控、疾病防治收集的個人信息，不得用于其他用途。任何單位和個人未經被收集者同意，不得公開姓名、年齡、身份證號碼、電話號碼、家庭住址等個人信息，但因聯防聯控工作需要，且經過脫敏處理的除外。收集或掌握個人信息的機構要對個人信息的安全保護負責，采取嚴格的管理和技術防護措施，防止被竊取、被泄露。具體可參考我們近期的文章《解讀網信辦＜關于做好個人信息保護利用大數據支撐防疫聯控工作的通知＞》

應對建議：

在遠程期間，如果企業希望通過遠程辦公系統收集員工疫情相關的個人信息，我們建議各企業應當：

制定隱私聲明或用戶授權告知文本，在員工初次提交相關信息前，獲得員工的授權同意；

遵循最小必要原則，制定信息收集的策略，包括收集的信息類型、頻率和顆粒度；

遵循目的限制原則，對收集的疫情防控相關的個人信息進行區分管理，避免與企業此前收集的員工信息進行融合；

在對外展示企業整體的健康情況時或者披露疑似病例時，對員工的相關信息進行脫敏處理；

制定信息刪除管理機制，在滿足防控目的之后，及時刪除相關的員工信息；

制定針對性的信息管理和保護機制，將收集的員工疫情相關的個人信息，作為個人敏感信息進行保護，嚴格控制員工的訪問權限，防止數據泄露。

5．遠程辦公期間，為有效監督和管理員工，企業希望對員工進行適當的監測，如何才能做到合法合規？

場景示例：

遠程辦公期間，為了有效監督和管理員工，企業根據自身情況制定了定時匯報、簽到打卡、視頻監控工作狀態等措施，要求員工主動配合達到遠程辦公的監測目的。員工通過系統完成匯報、簽到打卡時，很可能會反復提交自己的姓名、電話號碼、郵箱、所在城市等個人基本信息用于驗證員工的身份。

同時，在使用遠程OA系統或App時，辦公系統也會自動記錄員工的登錄日志，記錄如IP地址、登錄地理位置、用戶基本信息、日常溝通信息等數據。此外，如果員工使用企業分配的辦公終端設備或遠程終端虛擬機軟件開展工作，終端設備和虛擬機軟件中可能預裝了監測插件或軟件，在滿足特定條件的情況下，會記錄員工在終端設備的操作行為記錄、上網記錄等。

風險評估：

上述場景示例中，企業會通過1）員工主動提供和2）辦公軟件自動或觸發式收集兩種方式收集員工的個人信息，構成《網安法》下的個人信息收集行為。企業應當根據《網安法》及相關法律法規的要求，遵循合法、正當、必要的原則，公開收集、使用規則，明示收集、使用信息的目的、方式和范圍，并獲取員工的同意。

對于視頻監控以及系統監測軟件或插件的使用，如果操作不當，并且沒有事先取得員工的授權同意，很可能還會侵犯到員工的隱私，企業應當尤其注意。

應對建議：

遠程辦公期間，尤其在當前員工還在適應該等工作模式的情形下，企業根據自身情況采取適當的監督和管理措施，具有正當性。我們建議企業可以采取以下措施，以確保管理和監測行為的合法合規：

評估公司原有的員工合同或員工個人信息收集授權書，是否能夠滿足遠程辦公的監測要求，如果授權存在瑕疵，應當根據企業的實際情況，設計獲取補充授權的方式，包括授權告知文本的彈窗、郵件通告等；

根據收集場景，逐項評估收集員工個人信息的必要性。例如，是否存在重復收集信息的情況，是否有必要通過視頻監控工作狀態，監控的頻率是否恰當；

針對系統監測軟件和插件，設計單獨的信息收集策略，做好員工隱私保護與公司數據安全的平衡；

遵守目的限制原則，未經員工授權，不得將收集的員工數據用于工作監測以外的其他目的。

四、總結

此次疫情，以大數據、人工智能、云計算、移動互聯網為代表的數字科技在疫情防控中發揮了重要作用，也進一步推動了遠程辦公、線上運營等業務模式的發展。這既是疫情倒逼加快數字化智能化轉型的結果，也代表了未來新的生產力和新的發展方向［9］。此次“突發性的全民遠程辦公熱潮”之后，遠程辦公、線上運營將愈發普及，線下辦公和線上辦公也將形成更好的統一，真正達到提升工作效率的目的。

加快數字化智能化升級也是推進國家治理體系和治理能力現代化的迫切需要。黨的十九屆四中全會對推進國家治理體系和治理能力現代化作出重大部署，強調要推進數字政府建設，加強數據共享，建立健全運用互聯網、大數據、人工智能等技術手段進行行政管理的制度規則［10］。

為平穩加速推進數字化智能化發展，契合政府現代化治理的理念，企業務必需要全面梳理并完善現有的網絡安全與數據合規策略，為迎接新的智能化管理時代做好準備。

計算機風險評估怎么寫

1. 版本演變評估規則

1.1. 基本原則

這個問題可以參考任何一本關于計算機網絡、操作系統的教材，可以看到各式各樣的要求，總體上的要求都是源于國際化的評估標準ISO來確定的。所以在這里我們不再細說，僅列表顯示：

? 靜態網絡安全風險分析與評估；

? 網絡拓撲結構安全性分析；

? 網絡拓撲結構是否滿足安全需求；

? 內外服務器的安全策略；

? 內部網絡的安全域范圍劃分。

? 防火墻系統的安全性分析；

? 防火墻口令強度分析；

? 防火墻安全策略分析；

? 防火墻日志分析。

? 操作系統和服務器系統的安全性分析；

? 操作系統的版本及其補丁分析；

? 服務器的版本及其補丁分析；

? IIS的系統設置，用戶管理，訪問規則的風險評估；

? 提供各種網絡服務軟件的版本，補丁及其配置文件；

? 相關日志分析，檢查可疑操作及行為；

? 檢測系統后門程序。

? 網絡設備的安全性分析；

? 路由器的口令強度分析；

? 交換機的劃分區域分析；

? 撥號設備的安全策略分析；

? 加密設備的安全性分析；

? 數據備份的安全性分析；

? 防惡意代碼的安全性分析；

? 系統處理病毒的有效性分析；

? 系統處理特洛伊木馬的有效性分析。

? 提供分析報告和安全建議；

? 系統漏洞和網絡漏洞掃描及安全檢測；

? 系統安全檢測；

? 系統帳號檢測；

? 組帳號檢測；

? 系統日志檢測；

? 主機信任關系檢測；

? 系統配置文件檢測；

? 關鍵系統文件的基線檢測；

? 口令強度檢測；

? 系統安全漏洞檢測；

? 系統脆弱性分析；

? 有控制的滲透檢測；

? 日志文件檢查；

? 提供分析報告及安全建議。

? 網絡安全檢測；

? 端口掃描測試；

? 拒絕服務攻擊測試；

? Web 掃描和攻擊測試；

? 口令強度猜測；

? 針對 Ftp 、 Sendmail 、 Telnet 、 Rpc 、 NFS 等網絡服務攻擊測試；

? 提供分析報告和安全建議

1.1.1. 可生存性

這個概念基于1993年Barnes提出的原始定義：將安全視為可伸縮的概念。具有可生存能力的系統，對內，不依賴于任何一個專門的組件；對外，系統可以容忍一定級別的入侵。嚴格的來說，這樣的系統是一個具備災難恢復容侵容錯的整體，在網絡攻擊、系統出錯和意外事故出現的情況下仍能完成其任務的特性。針對當前黑客對系統有效性攻擊為目的的情況，系統的生存能力成為傳統的機密性保護之外系統必備的考慮因素。系統的安全不再受某一個單一組件的制約，而成為一個擁有足夠自救能力的實體。

對生存性主要考察的因素包括：

? 系統的具體功能：數據庫？web server？還是PC？

? 所處物理環境：與非操作人員隔離？直接暴露在internet上？處于防火墻后或DMZ中？有無病毒防護機制或入侵檢測軟件？

? 系統各項配置：無關服務是否關閉？不必要的網絡端口是否禁用？

? 是否配置有保證系統生存能力的部件和機制：備份機制、替換機制、服務退化機制？

1.1.2. 傳統保護機制要求CIAA

1.2. 保護機制

1.2.1. 實體保護

1.2.1.1. 隔離保護

對于多線程多進程的操作系統，必須保證各個進程與線程都是相互獨立彼此無影響的。結合進程的定義，因此，線程與進程所調用控制的資源必須是互不相同的，及彼此無認知。

? 物理隔離：不同的進程和線程使用不同的對象和設備資源

? 暫時隔離：同一進程在不同的時間按不同的安全需要執行

? 邏輯隔離：操作系統限制程序的訪問：不能訪問允許之外的客體

? 加密隔離：利用加密算法對相應對象進行加密

? 隔絕

1.2.1.2. 存儲器保護

多道程序的最重要問題是如何防止一個程序影響其他程序的存儲空間，保護存儲器的有效使用成本較低，包括柵欄保護、基址邊界保護和段頁式保護。

1.2.1.3. 運行保護

根據安全策略，把進程的運行區域劃分為同心環，進行運行的安全保護

1.2.1.4. I/O保護

將I/O視為文件，規定I/O是操作系統的特權操作，讀寫操作作為高層系統調用，對用戶忽略操作細節

1.2.2. 標識與認證

正確識別認證和管理實體的符號，作為標識；用戶名是身份認證的標識；安全級別是訪問控制的標識。

1.2.3. 訪問控制

1.2.3.1. 概念

操作系統安全保障機制的核心，實現數據機密性和完整性的主要手段。訪問控制限制訪問主體對被訪問客體的訪問權限，確保主體對客體的訪問必須是授權訪問，而且授權策略是安全的，從而保證計算機系統使用環境為合法范圍。

1.2.3.2. 過程

? 通過“鑒別”來驗證主體合法身份。

? 通過“授權”來限制用戶對資源的訪問級別。

常用的訪問控制可分為自主訪問控制（DAC）、強制訪問控制（MAC）和基于角色的訪問控制（RBAC）。

1.3. 評估方法

目前，根據我看過的資料至少有以下幾種：

? 基于特權提升的量化評估

? 基于粗糙集理論的主機評估

? 基于弱點數目的安全評估

? 基于安全弱點的綜合量化評估

2. 主流os基于版本的演變

2.1. Windows

2.1.1. Windows vista版本安全性比較

2.1.2. 服務器角度評估主流操作系統

服務器操作系統主要分為四大流派：WINDOWS、NETWARE、UNIX、LINUX。

? WINDOWS主流產品：WINNT4.0Server、Win2000/Advanced Server、Win2003/Advanced Server。

? NetWare主要應用于某些特定的行業中。以其優異的批處理功能和安全、穩定的系統性能也有很大的生存空間。

? Unix服務器操作系統是由ATT公司和SCO公司共同推出，主要支持大型的文件系統服務、數據服務等應用。市場流傳主要是SCO SVR、BSD Unix、SUN Solaris、IBM-AIX。

? Linux服務器操作系統是國內外幾位IT前輩，在Posix和Unix基礎上開發出來的，支持多用戶、多任務、多線程、多CPU。因為開發源碼，其成為國內外很多保密機構服務器操作系統采購的首選。主流產品Novell中文版、Red Hat、紅旗Linux。

綜述

優點

缺點

Windows

WINNT 4.0

直觀、穩定、安全的服務器平臺先河。尤為突出的是其NT架構內核意義深遠。

操作直觀，易于使用，功能實用，安全性能較好，可用于單一的防火墻的服務器上。

運行速度慢，功能不夠完善，當進行超出系統處理能力的多項并發處理時，單個線程的不響應使系統由于不堪重負產生死機現象

Win2000/

Advanced Server

對NT內核的殼部分進行了很大程度的響應與傳輸優化并附加管理功能。實現速度與功能的提升，安全上修不了所有以往的后門。

操作直觀、易于使用，功能隨時代發展具有大幅的提升，管理更加全面，單個線程不響應問題得到解決

運行速度有所提升但仍有缺憾，系統的穩定性與安全性較NT有削弱。

Win2003/Advanced Server

繼承人性化的WinXP界面，內核處理技術很大改良，安全性能很大提升，管理功能增加流行新技術

操作易用性，人性化版本，安全性Windows系列中最佳的，線程處理速度跟隨硬件的發展有所提升，管理能力不小的改善。

安全性能不夠完善，線程處理更加繁雜。

UNIX

SCO SVR、BSD Unix

支持網絡大型文件系統、數據庫系統，兼容更多的軟件應用，屬于非開源代碼，系統穩定性與安全性地位高高在上，無法動搖

系統安全性與穩定性穩如泰山，能夠支持大型文件系統與數據庫系統

代碼式命令觸動，人性化差，阻礙中低端服務器市場的發展，深層技術研究推廣有限，改善不明顯。

SUN Solaris、IBM-AIX

后來居上！服務器廠商對于己身的服務器操作系統支持比較足夠，對兩這服務器的市場占有率及技術含量起了很大的推動作用。

支持大型文件系統與數據庫、傳承了UNIX一貫的高能級系統安全性、穩定性，對于系統應用軟件的支持比較完善。

沾染了Unix系統的通病，人性化界面不著邊，非開源使得技術層面為得到推廣，不夠“物美價廉”。

Linux

Red Hat、紅旗Linux

中國商用化是政府采購的推動，考慮到機密數據的安全性。紅旗的官方獲利最大，小紅帽的民間流傳最廣

源碼開放使得技術完善從民間得到了其他廠商無法比擬的雄厚力量，其兼容、安全、穩定特性不容忽視

基于Unix的修補開發屬于類Unix模式，兼容性較其他os有差距，代碼輸入命令為主，人性化不足，維護成本偏高。

Suse Linux

結合Linux開源與人性化界面的操作系統，絢麗而高難的三維立體空間顯示！

穩定、安全，兼容性有提高，有人性化設計，漂亮的顯示

兼容性照微軟有差距，立體空間顯示技術不成熟。

NetWare

Netware

基礎設備低要求，方便的實現網絡連接與支持、對無盤工作站的優化組建、支持更多應用軟件的優勢。

操作相對方便，設備要求低，網絡組建先天優勢，支持金融行業所需的無盤工作站同時節約成本，支持很多游戲軟件的開發環境搭建，系統穩定性和Unix系統基本持平。

操作大部分以來手工輸入命令實現，人性化弱勢，硬盤識別最高只能達到1G，無法滿足現代社會對于大容量服務器的需求，個版本的升級只是實現了部分功能的實現與軟件支持，沒有深層次的技術更新。

2.2. 多種os相互比較

2.2.1. 基于特權提升的量化評估

以下數據來自計算機風險評估課件，顯示利用如題方法比較三種主流服務器的安全性能得到的結果，結論如圖。比較過程不再贅述。

2.2.2. 漏洞大比拼

這里看到的數據是微軟推出vista六個月的統計數據。雖然漏洞數目不足以作為說明安全性優劣的唯一證據，但是一定程度上反映了該系統即將面對的攻擊威脅以及脆弱性挑戰或者更是受關注度的指標。以下數據來自微軟可信計算組（TCG）安全戰略總監Jeff Jones。

ü Vista - 2006年11月30日正式上市，六個月內微軟發布了四次大型安全公告，處理了12個影響Windows Vista的漏洞，僅有一個高危漏洞。

ü Windows XP – 2001年10月25日正式上市。前三周已披露和修復了IE中的3個漏洞。上市后六個月內修復漏洞36個，其中23個屬于高危漏洞。

ü RHEL4W – 最受歡迎的Linux發行版，2005年2月15日上市，提供一般使用之前，出貨的組件就有129個公開披露的bug，其中40個屬于高危漏洞。上市六個月內，Red Hat修復了281個漏洞，其中86個屬于高危。而對于RHEL4W精簡組件版本，Red Hat修復了214個影響精簡的RHEL4WS組建集漏洞，包括62個高危。

ü Ubuntu 6.06 LTS – 2006年6月1日正式上市。在此之前已公開披露的漏洞有29個，其中9個高危漏洞。上市六個月，Ubuntu修復了145個影響Ubuntu6.06 LTS的漏洞，其中47個高危。而其精簡組件版本六個月內漏洞74個，其中28個高危。

ü Novell的SLED 10（SUSE Linux Enterprise Desktop 10）- 2006年7月17日正式上市，出貨日期前已公開23個漏洞，六個月內對其中20個進行修復，其中5個高危漏洞。上市六個月共修復159個影響SLED 10 的漏洞，其中50個為高危。

ü Mac OS X v10.4 – 2005年4月20日正式上市，上市前批露10個漏洞，六個月內修補其中9個，包括3個高危。上市六個月內蘋果公司60個影響OS X v10.4的漏洞，其中18個列為高危。

3. 系統安全風險基于時間的演變

3.1. 系統內部

這一類的問題集中在代碼層，可能存在開發人員的疏忽，也可能是使用者錯誤操作或特殊操作引起的軟件本身的漏洞和錯誤，更可能出于特定物理環境的誘因。從這一角度來說，系統內部威脅取決于用戶需求的發展，硬件發展，編程語言環境發展等多個問題。因此，間接性的與時間掛鉤！

3.2. 外來入侵

3.2.1. 病毒

最初的病毒制造者通常以炫技、惡作劇或者仇視破壞為目的；從2000年開始，病毒制造者逐漸開始貪婪，越來越多的以獲取經濟利益為目的；而近一兩年來，黑客和病毒制造者越來越狡猾，他們正改變以往的病毒編寫方式，研究各種網絡平臺系統和網絡應用的流程，甚至殺毒軟件的查殺、防御技術，尋找各種漏洞進行攻擊。除了在病毒程序編寫上越來越巧妙外，他們更加注重攻擊“策略”和傳播、入侵流程，通過各種手段躲避殺毒軟件的追殺和安全防護措施，達到獲取經濟利益的目的。產生這種現象的原因主要有兩個，一是國內互聯網軟件和應用存在大量安全隱患，普遍缺乏有效的安全防護措施，而是國內黑客/病毒制造者集團化、產業化運作，批量地制造電腦病毒。

3.2.2. 攻擊

攻擊者以前是利用高嚴重級別漏洞發起直接攻擊，現在采用的方式轉變為發現并利用第三方應用程序（如Web應用程序和Web瀏覽器）中的中等嚴重級別漏洞。這些漏洞通常被“網關”攻擊加以利用，這類攻擊的特點是，初始的漏洞利用并不會立即危及數據，而是先建立安身之所，隨后在發起更多惡意攻擊。根據賽門鐵克的安全報告，互聯網上的惡意活動肆虐，其中網絡釣魚、垃圾郵件、bot網絡、特洛伊木馬和零日威脅與日俱增。然而，過去攻擊者往往是單獨利用這些威脅，現在他們采用了更高明的手段，將資源整合成為全球網絡，以便利于實施相互協作的犯罪活動。從而導致不同的威脅和方法逐漸相互貫通互相利用。如，有目標性的惡意代碼可能利用支持Web的技術和第三方應用程序來安裝后門，然后下載并安裝bot軟件。隨后，這些bot用來分發垃圾郵件，托管網絡釣魚站點或以創建一個惡意活動協作網絡的方式來發起攻擊。這些網絡建立之后成為惡意活動的全球網絡，支持其各自的持續發展。

值得一提的是，攻擊的形式也隨著技術的發展而不斷升級。軟件虛擬化的實現，隨之而來的是虛擬技術威脅的上市。針對虛擬機不對主機信息提供保護的特性，以虛擬機中實際使用的硬件為目標和對虛擬機上訪客操作系統中使用的隨機數生成器產生的影響為基礎，演變成為新的兩類威脅。

如此看來，信息時代的經濟化帶動了網絡威脅的系統化、經濟化。

本文來自CSDN博客，轉載請標明出處：

當前標題：應用服務器安全評估PPT 服務器安全評估報告
網站地址：http://vcdvsql.cn/article48/dopeihp.html

成都網站建設公司_創新互聯，為您提供定制網站、小程序開發、網站策劃、關鍵詞優化、響應式網站、網頁設計公司

廣告

聲明：本網站發布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網站立場，如需處理請聯系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經允許不得轉載，或轉載時需注明來源： 創新互聯